2026年3月30日，安全机构 GoPlus Security 披露了一起专门针对 macOS 用户 的新型恶意软件事件——Infiniti Stealer。不同于传统依赖技术漏洞的攻击，这一次，攻击者选择伪装成我们几乎每天都会遇到的 Cloudflare 验证码页面，通过一个看似“正常”的安全流程，引导用户在本地执行恶意命令。表面上是验证你不是机器人，实质上是在一步步瓦解系统防线。

GoPlus Security 的分析指出，Infiniti Stealer 的主要目标直指 加密钱包和各类敏感凭证（此结论目前仅来自单一来源，需要持续验证），这意味着长期被认为“相对安全”的 macOS 阵地，正在被有组织的攻击者有计划地渗透。对于越来越依赖桌面端钱包、浏览器插件和交易所登录的加密用户而言，这不仅是一场系统侧安全事件，更是在加密时代重新划定“安全边界”的信号。

伪装成 Cloudflare 验证的陷阱页面

在本次事件中，被命名为 ClickFix 的社会工程学场景，是整个攻击链的入口。当用户访问被植入攻击代码的网站时，页面会弹出一个 高度仿真的 Cloudflare CAPTCHA 界面：布局、文案、品牌标识都与真实体验几乎一致，只是在底层逻辑上被悄悄“换了芯”。

传统的 Cloudflare 验证，多是点击图片、勾选复选框或等待浏览器自动完成检查，而 ClickFix 则多出了一步——提示用户复制一段看似“修复本地网络/验证环境”的命令，并在 macOS 终端 中粘贴执行。对于不少习惯在教程中复制命令的用户，这一步并不会自动触发警觉，反而会被视为一种“高级用户选项”。

社会工程学的关键，不是突破技术防线，而是 重写用户对安全流程的理解。攻击者深知 Cloudflare 在用户心中等同于“安全”和“防护”，于是将恶意行为伪装在这个被高度信任的品牌语境之下，把原本需要技术门槛的终端操作，转化成用户自愿完成的“验证动作”。

与传统钓鱼邮件、假登录页相比，这种模式的危险在于：它不再要求用户跳出熟悉的上网场景，而是 无缝嵌入日常浏览体验。你仍在访问一个看起来“正常”的网站，仍在通过“常见”的 Cloudflare 验证，只是这一次，验证的代价是把系统控制权拱手相让。

两步拿下macOS的精简攻击链

根据 GoPlus Security 的技术分析，Infiniti Stealer 的攻击链被压缩为两个关键步骤，既 精简高效，又能避开大部分普通用户可感知的风险信号。第一步，就是通过那条被诱导粘贴到终端的命令，移除下载文件在 macOS 上的 隔离属性。

macOS 对来自未知来源或互联网下载的文件，会自动增加隔离标记，用以触发额外的验证或警告。ClickFix 提供的命令，实质上就是在帮攻击者完成这道“解锁”操作：一旦隔离属性被移除，系统默认的防护询问就会弱化或消失，恶意载荷可以以更“自然”的方式被执行。这一步，看似是“修复网络问题”或“完成验证”，本质是在拆除苹果为普通用户设计的第一道安全栅栏。

第二步，恶意载荷被写入 /tmp 目录 并在后台 静默执行。/tmp 作为临时文件目录，在大多数用户的安全直觉中并不起眼，但恰恰因为如此，这里的异常活动往往不易被察觉。整个过程没有明显的弹窗警告，也不需要用户进一步确认，攻击链在这两步之内迅速闭合。

这套路径的危险之处在于：一旦用户完成了那次看似无伤大雅的“点击”和粘贴动作，后续 几乎不存在人为干预的机会。传统攻击往往需要多次诱导或多重确认，而 Infiniti Stealer 将所有关键动作折叠到一次终端执行之中，让“犹豫”和“反悔”的窗口被压缩到最小。

加密钱包成猎物：资产与隐私的双重暴露

在目前公开信息中，GoPlus Security 明确指出 Infiniti Stealer 的 主要目标是加密钱包及敏感凭证，但这一结论目前仅来自单一来源，仍需更多情报交叉验证。不过，即便在信息有限的前提下，只要攻击对象锁定在“加密相关数据”范围内，其潜在破坏力就已经足够构成系统性风险。

对于普通加密用户而言，桌面端钱包、交易所登录凭证、浏览器内保存的认证信息，甚至离线存储的 恢复助记词，一旦被窃取，所带来的首先是 直接的资金损失：资产可以被瞬间转移，跨链抛售，整个过程极难逆转。同时，这类凭证往往与多平台账号绑定，攻击者完全可以在资金被盗之后，进一步利用这些身份数据进行二次渗透或勒索。

更深层的风险在于 长期暴露。助记词一旦泄露，哪怕当下钱包余额不高，未来一旦有新的资产被转入同一地址，攻击者随时可以“回来收割”。在跨境追踪和司法协同效率有限的现实下，加密资产的 高流动性与全球可转移性，让这类攻击具备极高的性价比：一旦命中高净值用户，收益远超传统信息窃取。

这也是为何加密持有者被越来越多地视作攻击者的 优先目标。相比普通互联网用户，加密参与者往往在单一设备上集中存放更高密度的资产与密钥，攻击成功的边际回报极高，而追责难度和追赃成本却显著更大。这使得像 Infiniti Stealer 这样专门针对 macOS 与加密场景的攻击，具备了明确的经济动机。

macOS神话破碎：从系统神话到资产战场

在相当长的一段时间里，“macOS 更安全，不容易中毒”几乎是一个被广泛接受的市场共识。部分原因在于 macOS 市场份额相对较小，攻击者更愿意把精力花在 Windows 阵地。但近一段时间，针对 macOS 的恶意软件事件 呈现出上升趋势，Infiniti Stealer 只是其中一例，却足以撕开神话的一角。

当加密生态不断扩张，更多资金和应用从传统金融系统迁移到链上，桌面端成为与链交互的重要入口。跨平台钱包、浏览器插件钱包、桌面客户端交易工具的普及，让 macOS 设备承载的链上资产价值快速上升。对于精算回报率的攻击者来说，继续忽视这一人群已经变得不合算。

从经济动机上看，攻击者转向 macOS，并不是因为发现了更好用的技术漏洞，而是因为 这里聚集了足够多的高价值目标：开发者、早期加密投资者、专业交易者、对隐私有较高要求的用户等。系统层面再强的默认防护，也难以抵消这部分群体高资产密度带来的诱惑。

在这样的背景下，“安全边界”正在重新被划定：从过去以 “系统防护” 为主——依赖操作系统沙箱、签名验证、权限管理——逐渐转向以 “资产与身份防护” 为核心。操作系统的优越感，无法替代对私钥管理、凭证存储、签名行为的严格约束。Infiniti Stealer 事件，提醒的是一个残酷现实：只要你的设备承载足够多的链上价值，就不再存在意义上的“安全系统”。

四个别做：把安全感从直觉变成规则

针对这次 Infiniti Stealer 事件，GoPlus Security 发布了以“4 Don'ts（四个别做）”为核心的安全建议，将技术细节浓缩为行为准则：其本质不是教你如何跑杀毒工具，而是要求用户 克制轻信与冲动操作。在一个越来越依赖复制命令、快速点击和一键授权的世界里，这种“慢一点”的态度本身就是最重要的防线。

结合 ClickFix 场景，首当其冲的规则就是：不要随意在终端粘贴来源不明的命令。无论它包装成“修复网络”“绕过验证”还是“提升性能”，只要你不是完全理解命令在做什么，就不该在生产环境设备上执行。其次，不要轻信异常的验证流程——Cloudflare、Google、交易所验证码都有相对固定的交互模式，一旦出现要求打开终端、下载脚本、安装额外工具的“验证方式”，就应当立刻中止。

对加密用户而言，“4 Don'ts”还需要延伸为一份可执行的日常清单：

● 管理下载来源：尽量从官方站点、可信镜像或开源仓库获取钱包与工具，不通过搜索广告或社交媒体临时链接安装关键软件。

● 收紧浏览器插件权限：定期清理不再使用的钱包插件和脚本扩展，关闭不必要的读取数据权限，避免“顺手安装”的插件长期驻留在高权限位置。

● 放慢每一次签名动作：无论是 DApp 授权、跨链桥操作还是 NFT 挂单，签名前先确认域名、合约和金额，把每一次签名都当作“可能不可逆的转账”来对待。

只有当这些规则被固化为肌肉记忆，GoPlus Security 提出的“4 Don'ts”才不只是事件后的提醒，而是能真正降低下一次攻击命中率的 生活习惯。

下一波攻防：从漏洞争夺到心智争夺

Infiniti Stealer 折射出的一个明确趋势是：攻击正在 从纯技术层面的漏洞争夺，转向对用户行为与心理预期的精细操纵。ClickFix 并不以复杂的 0day 或内核利用见长，却通过对 Cloudflare 品牌信任、终端“黑盒感”和用户急于“赶快通过验证”的心理加以利用，完成了对 macOS 防线的侧翼突破。

面向未来，macOS 社区与加密行业需要在 威胁情报共享、安全工具与用户教育 上形成更紧密的协同。一方面，像 GoPlus Security 这样的安全机构，应持续公开可验证的攻击样本与技术分析，让浏览器、钱包、杀毒和系统级安全工具能够更快速地更新防线；另一方面，钱包和交易平台也需要在产品层面内嵌更多 反社会工程学设计，例如异常交互提醒、环境风险评分等机制。

对于个人参与者而言，在牛市与熊市的价格循环之外，把 “安全习惯”视作与资产配置同等重要的长期投资，正在从选项变成刚需。你可以在周期高点减仓，也可以在低点定投，但一旦在行为层面放松警惕，辛苦积累的账户和资产，很可能在一次复制粘贴、一次错误签名中被清零。

真正的防线，不只在操作系统、浏览器或钱包，而是在你为自己设定的行为底线里。

加入我们的社区，一起来讨论，一起变得更强吧！
官方电报（Telegram）社群：https://t.me/aicoincn
AiCoin中文推特：https://x.com/AiCoinzh

OKX 福利群：https://aicoin.com/link/chat?cid=l61eM4owQ
币安福利群：https://aicoin.com/link/chat?cid=ynr7d1P6Z

免责声明：本文章仅代表作者个人观点，不代表本平台的立场和观点。本文章仅供信息分享，不构成对任何人的任何投资建议。用户与作者之间的任何争议，与本平台无关。如网页中刊载的文章或图片涉及侵权，请提供相关的权利证明和身份证明发送邮件到support@aicoin.com，本平台相关工作人员将会进行核查。